Siber suçların, fidye yazılımlarının ve Rusya, İran ve Kuzey Kore gibi ülkelerin hükümete ve özel ağlara sızmasından endişe duyan ABD hükümeti, siber güvenlik stratejisini büyük ölçüde değiştirmenin ortasında. Artık büyük ölçüde işletmeleri ve teknoloji şirketlerini, savunmasız sistemleri güncel tutmak için yama yapmak gibi temel güvenlik önlemlerini gönüllü olarak almaya teşvik etmeye güvenmeyecek.

Bunun yerine artık işletmeler ve teknoloji şirketleri için temel güvenlik gereksinimleri oluşturmak ve uymayanlara para cezası vermek istiyor.

Eninde sonunda düzenlemelere uyması gerekebilecek olan sistemleri kullanan şirketler değil. Bunları yapan ve satan Microsoft, Apple ve diğerleri gibi şirketler de sorumlu tutulabilir. İlk belirtiler, federallerin hedeflerinde zaten Microsoft’un olduğu yönünde – şirketi şu anda göreve uygun görünmediği konusunda uyardılar.

İlk olarak, hükümetin gelişmekte olan stratejisini inceleyelim.

Yeni Ulusal Siber Güvenlik Stratejisi

Mart ayı başlarında, Biden Yönetimi yeni bir Ulusal Siber Güvenlik Stratejisi; yeni bulunan güvenlik açıklarıyla savaşmak için sistemlere yama uygulamak ve mümkün olduğunda çok faktörlü kimlik doğrulamayı kullanmak gibi en iyi güvenlik uygulamalarını takip etmek için özel sektöre ve teknoloji firmalarına daha fazla sorumluluk yükler.

ABD düzenleyicileri uzun süredir teknoloji şirketlerinin bunu yapmasını tavsiye ediyor. Şimdi fark, göre New York Times, “Yeni Ulusal Siber Güvenlik Stratejisi, bu tür iyi niyetli çabaların yararlı olduğu, ancak genellikle Rusya, Çin, İran veya Kuzey Kore tarafından desteklenen sofistike bilgisayar korsanlarının kritik hükümet ve özel ağlara girmeye yönelik sürekli girişimlerinin olduğu bir dünyada yetersiz olduğu sonucuna varıyor. . Bunun yerine, şirketlerin minimum siber güvenlik standartlarını karşılaması gerekiyor.”

Teorik olarak, bu standartlar karşılanmazsa, sonunda para cezaları uygulanacaktır. Ulusal Güvenlik Teşkilatı’nın eski başsavcısı Glenn S. Gerstell, durumu ABD’ye bu şekilde açıkladı. Zamanlar: “Siber dünyada, sonunda güvenlik için para harcamadıkları için alev alan Pintos’tan Ford’un sorumlu olduğunu söylüyoruz.” Bu, 1970’lerde arkadan döndüğünde sık sık alevler içinde kalan Ford Pinto’ya bir gönderme. Bu, bir dizi davaya ve federal oto güvenlik düzenlemelerinde bir artışa yol açtı.

Ancak cezalarla desteklenen siber güvenlik gereksinimleri henüz burada değil. Yeni belgeyi araştırın ve yeni stratejinin yalnızca bir politika belgesi olduğu için arkasında kanuni bir parça olmadığını göreceksiniz. Tamamen yürürlüğe girmesi için iki şeyin olması gerekiyor. Başkan Biden, bazı gereklilikleri uygulamak için bir yürütme emri çıkarmak zorunda. Ve Kongre’nin geri kalanı için yasalar çıkarması gerekiyor.

Biden bunun bazı bölümleri için bir yürütme emri çıkarabilse de, milletvekillerinin konuyla ilgili ne zaman harekete geçebilecekleri net değil.

Tüm bunlar, yeni stratejinin dişsiz olduğu gibi gelebilir. Ama durum pek öyle değil. ABD hükümeti dünyanın en büyük kabadayı kürsüsü. İşletmeleri ve teknoloji şirketlerini alenen eleştirerek stratejiyi takip etmeleri için muazzam bir baskı oluşturabilir. Bu da müşterilerin bazı işletmelerin ürün ve hizmetlerinden çekinmelerine neden olabilir. Ve tabii ki hükümet, şirketlerden devlet sözleşmeleri istiyorlarsa temel siber güvenlik uygulamalarını karşılamalarını isteyebilir.

Bunun Microsoft için anlamı

Peki, tüm bunların Microsoft ile ne ilgisi var? Bolca. Federaller, Microsoft’un temel siber güvenlik önerilerini karşılamadan önce kat etmesi gereken uzun bir yol olduğuna inandıklarını açıkça belirttiler. En az bir üst düzey hükümet güvenlik yetkilisi, Microsoft’u zayıf güvenlik uygulamaları için şimdiden alenen çağırdı.

Siber Güvenlik ve Altyapı Güvenliği Teşkilatı Direktörü Jen Easterly Geçenlerde Carnegie Mellon Üniversitesi’nde bir konuşma sırasında Microsoft’u eleştirdi. Microsoft kurumsal müşterilerinin yalnızca dörtte birinin çok faktörlü kimlik doğrulama kullandığını söyledi, bu sayıyı “hayal kırıklığı” olarak nitelendirdi. Bu pek bir kınama gibi gelmeyebilir ama unutmayın, bahsettiğimiz federal hükümet bu. Sözlerini çok dikkatli bir şekilde ayrıştırır. Onlar için “hayal kırıklığı”, başka herhangi bir yerde “korkunç iş” ile eşdeğerdir.

Easterly ayrıca Apple’ı överek Microsoft’u kızdırdı ve iCloud kullanıcılarının %95’inin varsayılan olarak etkin olduğu için çok faktörlü kimlik doğrulamanın açık olduğunu belirtti. “Apple, kullanıcılarının güvenlik sonuçlarının mülkiyetini alıyor” dedi. Örtülü eleştiri, Microsoft’un olmadığıdır.

Sonunda, hükümetin yeni siber güvenlik stratejisi, önerilen standartları izlemediği takdirde Microsoft için ciddi bir sorun olabilir. Yönetici kararnameleri çıkarılır ve kanunlar çıkarılırsa, müşterilerinin yazılımlarına düzenli olarak yama uygulandığından veya müşterilerinin çok faktörlü kimlik doğrulama kullandığından emin olmak için daha fazlasını yapmazsa şirket sonunda sorumlu tutulabilir. Daha kolay yama uygulanabilen, hatta belki kendi kendine yama yapabilen veya varsayılan olarak çok faktörlü kimlik doğrulama kullanan sistemler tasarlama sorumluluğu Microsoft’a ait olacaktır.

Kanunlar ve idari emirler olmasa bile şirketin başı belada olabilir. ABD hükümeti her yıl Microsoft sistemlerine ve hizmetlerine milyarlarca dolar harcıyor; bu, Microsoft’un standartlara uymaması durumunda tehlikeye girebilecek bir gelir akışı.

Kongre’deki bazı kişiler, geçmişteki siber güvenlik eksiklikleri nedeniyle şirketi zaten keskin bir gözle görüyor. İki yıl önce Siber Güvenlik Altyapısı Güvenlik Ajansı, bulut güvenliğini iyileştirmesi için Microsoft’a ödeme yapmak üzere bütçesine 150 milyon dolar ayırdı. Bu harcama, “iki büyük siber saldırının Microsoft ürünlerindeki zayıflıkları federal ve yerel kurumlar ile on binlerce şirketteki bilgisayar ağlarına ulaşmak için kullanmasının” ardından geldi. Reuters’e göre.

Yazılımı güvensiz olduğu için Microsoft’a 150 milyon dolar vermenin ironisi Kongre’de kaybolmadı. İstihbarat komitesinde yer alan Senatör Ron Wyden (D-OR), “Microsoft tarafından uzun süredir göz ardı edilen bir tasarım kusurundan bilgisayar korsanlarının yararlandığı büyük bir ihlalin tek çözümü Microsoft’a daha fazla para vermekse, hükümetin bunu yapması gerekiyor” uyarısında bulundu. Microsoft’a bağımlılığını yeniden değerlendirin. Hükümet, kendisine güvensiz yazılım satan bir şirketi daha da büyük devlet sözleşmeleriyle ödüllendirmemeli.”

İki yıl önce, Microsoft fazladan parayı aldı. Ancak hükümetin yeni Ulusal Siber Güvenlik Stratejisinin herhangi bir gücü varsa, bu bir daha olmayacak.

Telif hakkı © 2023 IDG Communications, Inc.



genel-13